IT Controlling statt IT Cost Cutting. Unternehmen, die ihre IT betriebswirtschaftlich nicht im Griff haben, droht langfristig die Handlungsunfähigkeit. Dabei benötigt effektives Controlling keine großen Investitionen - vieles lässt sich mit vorhandenen Potenzialen und der richtigen Methodik bewältigen.

IT Controlling statt IT Cost Cutting

Die vergangenen 24 Monate waren für viele Unternehmen bitter. Getrieben von der allgemeinen wirtschaftlichen Situation und den Umsatz- und Ertragseinbrüchen, sahen sie sich in vielen Unternehmensbereichen zu schonungslosen Einsparmaßnahmen genötigt. Auf den Prüfstand wurden freiwillige soziale Leistungen genauso gestellt wie Erneuerungen des Fuhrparks oder IT-Innovationen, deren Einführung eigentlich bereits beschlossen war. Tatsächlich geprüft wurde jedoch nur in den seltensten Fällen. Oft wurden Reduzierungen und Streichungen ohne Blick auf mögliche Auswirkungen verfügt. "IT-Controlling" war das Motto der Stunde und wurde von oben angeordnet. Entsprechende Seminare boomten. Viele IT-Leiter waren enttäuscht, nachdem schnell klar wurde, dass es kein "Out-of-the-Box-Ich-spare-40%-IT-Kosten-Tool" gibt. Und noch etwas wurde in vielen Gesprächen transparent: Von IT-Controlling wurde keine schlüssige Konzeption zur Steuerung der IT und der IT-Kosten im Unternehmenssinne erwartet, sondern simples Cost-Cutting. Die IT-Leiter waren zwar ausgestattet mit dem Auftrag, die IT-Kosten spürbar zu reduzieren - aber ohne echten konzeptionellen Vorlauf und ohne die Möglichkeit, in eine nachhaltige Kostenreduzierung zu investieren. Dabei liegt die Amortisationsdauer solcher Optimierungsprojekte teilweise unter 12 Monaten! Nach einer langen Periode der satten IT-Budgets (Y2K, Euro-Umstellung, E-Business-Hype) ist die Aufgabe, vor der die CIOs jetzt stehen, nicht leicht und auf den ersten Blick durchaus vergleichbar mit dem Auftrag an Ärzte, Kliniken und Pharmaindustrie, die Kosten im Gesundheitswesen zu senken. Das Ergebnis ist bekannt.

Was also ist mit IT-Controlling gemeint, wenn nicht Cost Cutting? Was kann es leisten und welche Bedingungen müssen erfüllt werden, damit dieses Controlling zu einem nachhaltigen Erfolg für das gesamte Unternehmen - und nicht nur für die IT - wird? IT-Controlling ist die Betrachtung des Produktionsfaktors IT aus gesamtunternehmerischer Sicht. Auf IT-Controlling angesprochen, verweist die Unternehmensführung gerne auf die IT-Leitung. Die IT steht zwar im Mittelpunkt, ist jedoch nicht Inhalt der Betrachtungen. Vielmehr geht es um Strategie, Betriebswirtschaft, Transparenz und Kommunikation. Somit liegt IT-Controlling weniger in der Verantwortlichkeit der IT-Abteilung als im Bereich des Unternehmens-Controllings, das eine beratende Funktion für die Unternehmensleitung hat.

IT-Controlling lässt sich in fünf Module untergliedern (Abb. oben: Das IT-Controlling-Gesamtmodell):

Portfoliomanagement (PFM)

Unternehmensstrategie-orientierte Priorisierung von IT-Investitionsvorhaben Projektcontrolling (PRC)

Projektmanagement, frist- und budgetgerechte Projektbearbeitung Produkt- und Infrastrukturcontrolling (PIC)

IT-Produktbildung, Service Level Agreements und Service Level Management, Bedarfsplanung, bedarfsgerechte Ressourcenplanung, interne Leistungsverrechnung - also IT-Controlling im engeren Sinne

Module 1 bis 3 bilden den Hauptprozess des IT-Controllings ab: IT-Projekte bzw. IT-Investitionsvorhaben werden priorisiert, professionell durchgeführt und nach der Übergabe an den laufenden IT-Betrieb leistungsindiziert (und nicht nach Umlage) an die Abnehmer verrechnet.

Flankiert wird dieser Hauptprozess durch zwei weitere Module:

Risikomanagement und -controlling (RMC):

Dies beinhaltet unter anderem die bekannte IT-Security. RMC geht jedoch weit darüber hinaus und betrachtet das Risiko auf einem unternehmerischen Niveau Balanced Scorecard für die IT (BSC):

Kennzahlengestütztes Steuerungsinstrument

Portfoliomanagement (PFM)

Die Aufgabe des Portfoliomanagements ist die Identifikation und Priorisierung von Projektideen oder -anträgen mit dem besten Kosten-Nutzen-Verhältnis für das Unternehmen. Somit steht der Nutzen aus Unternehmenssicht und nicht aus IT-Sicht im Mittelpunkt von IT-Investitionsentscheidungen. Dieser Unternehmensnutzen ist in hohem Maße durch die Unternehmensstrategie geprägt. Somit muss diese (gegebenenfalls über eine daraus abgeleitete IT-Strategie) eine ganz wesentliche Determinante von IT-Investitionsentscheidungen bilden. Dieser Sachverhalt hat sich noch lange nicht in allen allen Unternehmen durchgesetzt. Weiterhin ist neben dem strategischen auch der betriebswirtschaftliche Nutzen zu bestimmen.

Malen Projektantragsteller beim strategischen Nutzen ihres Projektes noch gerne blühende Landschaften, sind sie hingegen kaum in der Lage, künftige Kosten sauber zu ermitteln (Abb unten: Dimensionen der Projektpriorisierung). Vollkommene Hilflosigkeit stellt sich ein bei der Frage nach Umsatz- oder Ertragsausweitungen. Projektevaluierung heißt hier das Zauberwort. Leider sind nur wenige Unternehmen bereit, Geld und Zeitaufwand in eine umfangreiche Analyse zu investieren. Dabei könnte die dadurch gewonnene Transparenz beim frühzeitigen Erkennen von Fehlinvestitionen sehr hilfreich sein. Für eine solche Analyse benötigt die IT-Abteilung Informationen aus allen von einem neuen IT-System betroffenen Unternehmenseinheiten. Wird eine Investition aufgrund der erfolgten Evaluierung als wichtig identifiziert, sollte sie auch realisiert werden - selbst wenn aus unterschiedlichen Gründen eine Verschiebung notwendig erscheint. Die Unterlassung einer erforderlichen Investition birgt - gerade in der IT - die Gefahr eines technologischen Stillstands.

Projektcontrolling (PRC)

Das grundsätzliche Ziel bei jedem Projekt ist dessen zeit- und budgetgerechte Realisierung. Dass dies inzwischen eher die Ausnahme als die Regel ist, hat verschiedene Gründe. Häufig wird ein IT-Fachmann mit Projektleitung und Projektcontrolling beauftragt. Ihm sind zwar alle fachlichen Feinheiten des Themengebietes bestens vertraut - aber üblicherweise nicht die übergeordneten Projekt- oder Unternehmenszusammenhänge. Er ist Fachmann und kein Projektleiter, kein Projektmanager, kein Manager. Ein Projekt muss jedoch aufgrund der vielen, teilweise kollidierenden Interessen und Interessensträger gemanagt werden und erfordert deshalb als Leitung eine entsprechende Persönlichkeit. Ab einer gewissen Größenordnung ist es sinnvoll bis zwingend, eine weitere Person mit dem Controlling zu beauftragen. Dadurch lassen sich Schieflagen schneller erkennen - denn schließlich geht es um eine Investition in die Zukunft des Unternehmens und nicht um einen Abenteuerspielplatz des Projektleiters. Eine rechtzeitige Eskalation ist wichtig, um Termine halten zu können. Termintreue ist wiederum Voraussetzung, um den Investitionsnutzen wie geplant realisieren zu können. Bei einer signifikanten Verspätung werden eingeplante Kostenreduzierungen sowie Erfolgserhöhungen später realisiert und führen unter Umständen dazu, dass sich ein Projekt nicht mehr rechnet.

Produkt- und Infrastrukturcontrolling (PIC)

Das Produkt- und Infrastrukturcontrolling bildet das IT-Controlling im engeren Sinne ab. Es geht darum, die "Produktion" von IT-Produkten analog der Produktion in einem Industriebetrieb kaufmännisch zu betrachten. Hierzu ist es erforderlich, zunächst das komplette Repertoire in IT-Produkten zusammenzufassen. "Verkaufbare" Produkte müssen mit konkreter Nutzenstiftung für die Abnehmer in den Fachabteilungen definiert werden. Dabei ist jedes einzelne Produkt mit Service Level Agreements zu hinterlegen und somit in seiner Ausprägung eindeutig festzulegen. Basierend auf den Bedarfsplanungen der Fachbereiche erfolgt eine Ressourcenabschätzung für die verschiedenen an der Leistungserstellung beteiligten Kostenstellen. Darauf aufbauend erfolgt die Bepreisung und der Fachbereich kann jetzt erkennen, welche IT-Kosten in der nächsten Planungsperiode auf ihn zukommen.

Zahlen muss der Fachbereich nun für die bestellte und in Anspruch genommene Leistung. Und spätestens jetzt gehen den Fachabteilungen die Augen auf. Denn plötzlich wird transparent, welche Kosten die steigenden Anspruchshaltungen tatsächlich verursachen. Im nebulösen Dickicht von Pro-Kopf-Umlagen wird nicht deutlich, welche Kosten mit welcher Maßnahme verbunden sind. Der erzieherische Effekt ist gewaltig. Unternehmen, die ein Produkt- und Infrastrukturcontrolling in ihrer IT eingeführt haben, sprechen von drastischen Rückgängen speziell bei "Komfortbedarfen", wie z.B. Monitorausstattung oder Änderungswünsche bei Anwendungsmasken. Aber auch bei echten Bedarfen greifen die Fachbereiche nicht mehr auf das machbare Maximum zurück, sondern fordern nur noch das für ihre Arbeit im Rahmen der unternehmerischen Leistungserstellung Notwendige (Abb. rechts: "Integrationszusammenhang").

Risikomanagement und -controlling (RMC)

Das Thema Risikomanagement und -controlling wird in den Unternehmen bisher nur unter zwei Gesichtspunkten diskutiert: Die IT-Security dient der Abwehr unmittelbarer Bedrohungen, wie Hacker oder Viren, und die Risikobetrachtung erfolgt im Rahmen des gesetzlich vorgeschriebenen Minimums. Beides hat mit RMC als unternehmerische Funktion wenig zu tun. RMC bedeutet nicht die sehr kostenintensive Ausschaltung jeglicher Risiken, sondern das Schaffen von Bewusstsein im Hinblick auf vorhandene Risiken und einen aktiven Umgang mit diesen Wagnissen. Unternehmen, die ihre Risiken kennen und diese perfekt managen, werden in der Zukunft die erfolgreichsten sein. Denn Risikomanagement bedeutet auch Chancenmanagement.

Balanced Scorecard für die IT (BSC)

Eine IT-BSC stellt - wie auch die Unternehmens-BSC - ein kennzahlenorientiertes Führungsinstrument dar. Das Werkzeug an sich ist also weder unbekannt noch unbewährt. Vielmehr stellt sich die Frage nach dessen richtigem Einsatz in Bezug auf die IT. Auf die Frage, mit welchem der fünf Module ein IT-Controlling-Projekt in ihrem Unternehmen starten solle, antwortete die Mehrzahl der Teilnehmer eines IT-Controlling-Seminars, dass sie beabsichtigen, eine Balanced Scorecard für die IT einzuführen.

Die Frage nach dem Ursprung der Quelldaten löste jedoch Schulterzucken aus. Wieder einmal sollte also eine "Out-of-the-Box-ready-to-use-Lösung" die Rettung bringen. Wie aber soll eine BSC sinnvolle und valide Kennzahlen zur Verfügung stellen, wenn keine entsprechenden Quelldaten zur Verfügung stehen? Solche Quelldaten müssen zu einem Großteil aus den Modulen PFM, PRC, PIC und auch RMC kommen. Eine Balanced Scorecard komprimiert diese Informationen und stellt sie in Kennzahlen dar - sonst nichts. Die BSC alleine generiert noch keine Informationen (Abb. Seite 17: "Herkunftsverteilung der IT-Kennzahlen").

Fazit

Angesichts der Komplexität eines IT-Controlling-Projektes entsteht vielleicht Frustration oder gar Resignation. Aber es gibt langfristig gesehen keine Alternative zum Einsatz von IT-Controlling. Man sollte mit einfachen Schritten beginnen - beispielsweise der Objektivierung einer Investitionsentscheidung (wie im Modul PFM beschrieben). Hierzu werden keine teuren IT-Tools benötigt. Viele der in den fünf Modulen beschriebenen Maßnahmen lassen sich mit den im Unternehmen bereits vorhandenen Potenzialen realisieren. Es geht lediglich um den zielgerichteten Einsatz von Vorhandenem - gepaart mit der richtigen Methodik und dem notwendigen Verständnis für die Problematik. Nur jene Unternehmen, die ihre IT betriebswirtschaftlich im Griff haben und sie strategisch im Unternehmenssinne weiterentwickeln, werden langfristig handlungsfähig bleiben.

* Horst Santihanser ist Projekt-Manager bei der zur Beratungsgruppe Plaut zählenden Plaut Consulting GmbH, Ismaning/München.